Suchen
      • Suchen
       (Quelle: fotolia/maciek905)

      Digitalisierung 27. Oktober 2015

      Informations-Sicherheit: Der menschliche Faktor zählt

      Text: Stephan Gerhager
      Foto: fotolia/maciek905
      Stephan Gerhager, Chief Informationsecurity Officer der Allianz Deutschland AG, berichtet über Hacker mit weißen Hüten und neugierige Blicke auf Nachbars Bildschirm.

      Der deutsche Bundestag musste nach einer Cyberattacke sein Computersystem für eine Generalüberholung abschalten. Millionen Seitensprungwillige wurden im Netz als Nutzer des Portals Ashley Madison geoutet. Und auch die Systeme der amerikanischen Bundesverwaltung sind nicht so sicher wie Fort Knox: Mehr als 25 Millionen Menschen sind ausgespäht worden.

      Die Zahl der Cyberangriffe wächst, wie mehrere Studien unabhängig voneinander beweisen. Und die Motive der Angreifer ändern sich. In den 1980ern galten Hacker als Computerfreaks, die sich in fremde Systeme einschleichen konnten, für die jedoch die "Hacker-Ethik" Gesetz war. Es ging nicht um Geld, sondern um Informationsfreiheit. Heute bezeichnet man diese Fraktion der „guten“ Hacker als „White Hat-Hacker“. Für die so genannten Black Hats hingegen ist Hacken ein Geschäftsmodell. Black Hats spüren Sicherheitslücken auf und verkaufen entweder die Information, wie man in ein System einbrechen kann – und das teilweise für sechsstellige Beträge - oder aber die erbeuteten Datensätze.

      Stephan Gerhager, Chief Informationsecurity Officer der Allianz Deutschland AG.

      Foto: Allianz Deutschland AG

      Stephan Gerhager, Chief Informationsecurity Officer der Allianz Deutschland AG. (Quelle: Allianz Deutschland AG)

      Hacker-Ethik und Raubrittertum

      Und auch im schwarzen Lager herrscht keine Homogenität. Hauptgruppe Nummer eins: die Raubritter. Sie ziehen durch das Netz und nehmen alles mit, was nicht niet- und nagelfest ist. Hohen Aufwand scheuen sie. Hat ein Unternehmen seine Daten nicht gut gesichert, werden die Raubritter angreifen. Sehen die Hacker, dass die Burg über ein ausgeklügeltes Verteidigungssystem verfügt, ziehen sie sofort weiter. Sie vermeiden jeglichen Aufwand. Bietet ein Unternehmen also leichte Beute, steigt automatisch die Chance, Ziel von Cyberkriminellen zu werden.

      Gruppe Nummer zwei geht die Sache sehr gezielt an. Vor dem Angriff wird ein Business Case erstellt und die Rentabilität geprüft. Welche Daten sind bei einem Unternehmen zu holen? Für welchen Preis kann man sie verkaufen? Wie viel Zeit muss der Angreifer investieren, um an die Daten zu kommen – rechnet sich ein Angriff? Grundsätzlich kann jedes IT-System angegriffen werden. Ob ein Angriff erfolgreich verläuft, ist letztendlich eine Frage des Aufwands. Zahlt sich der Aufwand nicht in harter Währung aus, nehmen die Black Hats das nächste Ziel in Angriff. 

      "IT-Sicherheit"? Informationssicherheit!

      Die Herausforderungen für Unternehmen, ihre Systeme und Daten zu schützen, haben sich in den vergangenen Jahren entsprechend geändert. Früher stand der Begriff "IT-Sicherheit" im Vordergrund, alles drehte sich um Firewalls und Virenscanner. Seit einigen Jahren benutzen wir hingegen den Begriff Informationssicherheit. Das bedeutet: Das Unternehmen beschäftigt sich in Form eines aktiven Risikomanagements mit dem Schutz sensibler Daten.

      Die Herausforderungen für Unternehmen, ihre Systeme und Daten zu schützen, haben sich in den vergangenen Jahren geändert. Früher stand der Begriff "IT-Sicherheit" im Vordergrund, heute geht es breiter um Informationssicherheit. 

      Foto: fotolia/Anna

      Die Herausforderungen für Unternehmen, ihre Systeme und Daten zu schützen, haben sich in den vergangenen Jahren geändert. Früher stand der Begriff "IT-Sicherheit" im Vordergrund, heute geht es breiter um Informationssicherheit.  (Quelle: fotolia/Anna)

      Die Fragen, die ich mir als Chief Information Security Officer täglich stelle, sind: Welche unserer Daten sind für Hacker interessant? Und was wird ein potentieller Angreifer tun, um an diese Informationen heranzukommen? Für eine moderne Informationssicherheit besteht die Herausforderung darin, Angriffe frühzeitig vorherzusagen. Wir müssen uns in die Angreifer hineindenken. So können wir Sensoriken entwickeln, um Bedrohungen frühzeitig zu erkennen und um in der Lage zu sein, darauf zu reagieren.

      Krisen durchspielen, Risikobewusstsein erzeugen

      Wir entwickeln Krisenmechanismen. Und wir spielen mit den Mitarbeitern in Krisenübungen verschiedene Bedrohungsszenarien durch. Die Kunst besteht darin, eine Balance herzustellen zwischen technischen Maßnahmen, einem funktionierenden Risikomanagement und dem nötigen Risiko-Bewusstsein.

      Denn wenn es um Informationssicherheit geht, darf man keinesfalls den menschlichen Faktor unterschätzen. Für die Allianz und im Rahmen meiner Vortragstätigkeit bin ich viel unterwegs. Was ich dabei in den Flughäfen dieser Welt sehe, ist für mich immer wieder erschreckend: Laptops, die unbeaufsichtigt herumstehen. Eingeschaltet. Fluggäste, die aktienkursrelevante Informationen ihres Arbeitgebers auf dem Bildschirm checken – dass die Mitreisenden über die Schulter mitlesen können, fällt nicht auf. Gelegentlich habe ich in solchen Situationen schon das Smartphone gezückt und ein Foto gemacht. Und niemand hat sich gewundert oder gar nachgefragt, weshalb ich den Bildschirm eines Fremden fotografiere.

      Die Herausforderung lautet: Sicherheitsmechanismen entwickeln, die funktionieren, die einfach sind und die die Mitarbeiter in ihrem Arbeitsalltag nicht behindern.

      Foto: fotolia/vege

       (Quelle: fotolia/vege)

      Faktor Mensch nicht unterschätzen

      Egal, wie sicher wir Systeme gestalten und uns gegen Angriffe von außen abschotten – den Faktor Mensch darf man nie unterschätzen. Ein Hauptanliegen moderner Informationssicherheit muss es deshalb konsequenterweise sein, die Mitarbeiter für einen verantwortungsbewussten Umgang mit Daten zu sensibilisieren und sicheres Verhalten zu schulen. Und so, wie die Informationssicherheit sich in Hacker hineindenken muss, muss sie auch überlegen, was der Mitarbeiter will und braucht.

      Heißt: Wir müssen Sicherheitsmechanismen entwickeln, die funktionieren, die einfach sind und die den Mitarbeiter in seinem Arbeitsalltag nicht behindern. Dafür müssen wir die IT-Systeme und die Arbeitsabläufe in den Abteilungen genau kennen. Denn wenn die Anwender die Sicherheitsmechanismen nicht akzeptieren, kann es uns sonst passieren, dass sie "kreative Lösungen" finden, um lästige und scheinbar unnötige Umwege abzukürzen, die die IT-Sicherheit vorschreibt. Dieses Verhalten ist nur allzu menschlich. Erfolgreich sein wird die Informationssicherheit jedoch immer nur, wenn sie den menschlichen Faktor mit berücksichtigt. Denn menschliche Sicherheitslücken kann ich mit keiner Software dieser Welt schließen.  

      Dieser Namensbeitrag erschien auch in der "EURO am Sonntag" vom 24. Oktober 2015.

      Jetzt informieren

      Schutz im Falle von Phishing-Schäden und Datenrettung:Allianz Hausratversicherung